Упражнение: «Жизненный цикл данных как способ понимания риска» [Углубленное упражнение]

Данное обучающее упражнение направлено на рассмотрение оценки рисков с точки зрения жизненного цикла данных. Активисты_ки, организации и движения работают с данными - от создания / сбора / сбора данных до публикации информации, основанной на данных.

Введение

Картинка. Надпись на картинке: Углубленные Упражнения
Рисунок на картинке: зеленый круг. Сверху картины дерево и по всему кругу распущены корни

Данное обучающее упражнение направлено на рассмотрение оценки рисков с точки зрения жизненного цикла данных. Активисты_ки, организации и движения работают с данными - от создания / сбора  / сбора данных до публикации информации, основанной на данных.

Существует два основных подхода к технике проведения данного мероприятия:

• Общий семинар проводится в рамках общего семинара по цифровой безопасности, участники_цы которого представляют различные организации и/или не принадлежат к каким-либо организациям.
• Организационный семинар предназначен для отдельных групп и их сотрудников_ц. Общий контекст для этого типа семинара заключается в том, что различные команды одной организации объединяются для оценки рисков, связанных с практикой и процессами работы с данными в их организации.
  

Цели обучения и общие темы, рассматриваемые в обоих подходах, одинаковы, но методологии и техники фасилитации должны быть скорректированы для двух различных сценариев семинаров.

Цели обучения

В процессе выполнения этого упражнения участники_цы смогут:

• понимать риски и аспекты безопасности на каждом этапе жизненного цикла данных;
• применять механизмы оценки рисков для обеспечения личной и/или организационной безопасности.
  

Для кого предназначено данное упражнение?

Это упражнение предназначено для отдельных активистов_к (в рамках общей оценки рисков или семинара по цифровой безопасности) или для группы (организации, сети, коллектива), проходящей процесс оценки рисков. Существуют две техники проведения, два подхода к этому упражнению, в зависимости от того, будет ли это общий семинар или занятие для отдельной группы.

Упражнение также может быть использовано в качестве диагностического для определения приоритетов, на каких практиках или инструментах следует сосредоточиться в оставшейся части семинара по цифровой безопасности.

Продолжительность

Зависит от количества участников_ц и размера группы. В целом, процесс может занять минимум четыре часа.

Ресурсы

• Бумага для флипчарта
• Маркеры
• Проектор для презентации жизненного цикла данных и направляющих вопросов, а также для совместного использования участниками_цами, если необходимо.

Техника проведения для общего семинара

(Этот материал предназначен для общего семинара по оценке рисков или цифровой безопасности, в котором участвуют активисты_ки из разных контекстов. Цели обучения остаются теми же, но некоторые тактики обучения и фасилитации будут отличаться от семинара для уже сформировавшейся группы людей.)

Первая фаза: что вы публикуете?

В этой части упражнения участникам_цам задается вопрос: «Что вы публикуете в рамках своей работы в качестве активиста_ки?»

Смысл здесь в том, чтобы начать с самой очевидной части жизненного цикла данных - обработанных данных, которые распространяются в виде информации. Это могут быть отчеты об исследованиях, статьи, сообщения в блогах, руководства, книги, веб-сайты, сообщения в социальных сетях и т. д.

Это можно сделать на пленарном обсуждении, в стиле "попкорн". Это когда ведущий_ая задает вопрос и просит участников_ц дать короткие и емкие ответы - как кукуруза, лопающаяся на сковороде!

Вторая фаза: презентация жизненного цикла данных и соображений по безопасности

Цель презентации - напомнить участникам_цам о цикле управления данными. Ключевые моменты презентации можно найти здесь (см.файлы основы-жизненного цикла данных-презентация.odp а также Презентация).

Третья фаза: время рефлексии о жизненном цикле персональных данных

Сгруппируйте участников_ц в соответствии с тем, что они публикуют. Попросите их выбрать конкретный пример того, что они опубликовали (статья, исследовательский отчет, книга и т.д.), и попросите их сформировать группы на основе аналогичной работы.

Здесь у каждого_й из них будет время проследить жизненный цикл опубликованных данных, а затем у группы будет время поделиться своими рефлексиями. 

Время на рефлексию должно составлять около 15 минут. Далее потребуется около 45 минут на обсуждение в группе.

Вопросы для индивидуальной рефлексии будут представлены в презентации.

При работе в группе все участники_цы группы по очереди расскажут о жизненном цикле данных своей опубликованной работы.

Четвертая фаза: обратная связь и соображения по безопасности

Вместо презентации групповых отчетов тренер_ка-фасилитатор_ка задает каждой группе вопросы, которые помогут выявить то, о чем шла речь в группах.

Ниже приведены вопросы, которые вы можете использовать для подведения итогов времени, проведенного в рефлексии и групповой дискуссии:

• Какие устройства хранения данных были наиболее распространены в группе? Какие из них использовал только один человек?
• Каковы были различия и сходства в доступе к хранилищу данных в вашей группе?
• Как насчет обработки данных? Какие инструменты использовались в вашей группе?
• Опубликовал ли кто-нибудь в группе что-то, что подвергло риску его или кого-то из его знакомых? Что именно?
• Задумывался ли кто-нибудь в группе о практике архивирования и удаления данных до сегодняшнего дня? Если да, то какова была практика в этой области?
• Возникали ли на каком-либо этапе жизненного цикла ваших данных проблемы с безопасностью и защитой? Каковы они?

Подведение итогов упражнения

По завершении групповых презентаций и обмена опытом тренер_ка-фасилитатор_ка может подвести итоги упражнения:

• Указать на ключевые моменты
• Спросить участников_ц об основных выводах, сделанных в ходе упражнения
• Спросить участников_ц об изменениях в практике управления данными, о которых они узнали в ходе мероприятия.

*Картинка с рисунком. На рисунке растения синего цвета

Техника проведения для организационного семинара

Данный семинар предназначен для организаций и их сотрудников_ц.

Первая фаза: какая информация является общей для каждого отдела/ программы / команды организации?

Исходя из конфигурации и структуры организации, попросите каждый отдел или команду привести пример чего-то общего для них - внутри организации или за ее пределами.

• Вот примеры для стимулирования ответов:
• Для отделов коммуникаций - какие сводки вы публикуете?
• Для исследовательских команд - какие исследования вы проводите, о чем отчитываетесь?
• Для администраторов и финансистов - кто может ознакомиться с платежными ведомостями вашей организации? Как насчет финансовых отчетов?
• Для отделов кадров - как насчет оценки персонала?

Примечание по фасилитации: на этот вопрос гораздо легче отвечать командам, у которых есть цели, ориентированные на внешний мир, например, отделу по коммуникациям,  или программе, которая публикует отчеты и исследования. В отношении более ориентированных на внутренний мир отделов, таких как финансово-административный или отдел кадров, тренеру_ке-фасилитатору_ке, возможно, придется потратить время на примеры того, какой информацией они обмениваются.

Цель этого этапа - заставить различные команды признать, что все они обмениваются информацией, как внутри организации, так и за ее пределами. Это важно, поскольку каждая команда должна быть в состоянии определить один или два вида информации, которыми они обмениваются при оценке риска в своей практике управления данными.

Вторая фаза: презентация жизненного цикла данных и соображений по безопасности

Цель презентации - напомнить участникам_цам о цикле управления данными. Ключевые моменты презентации можно найти здесь Презентация_Жизненный Цикл Данных

Третья фаза: групповая работа

В рамках команд попросите каждую группу определить один-два вида информации, которой они делятся/которую публикуют.

Чтобы расставить приоритеты, предложите командам подумать о том, какую информацию они больше всего хотят обезопасить, или о том, какая информация, которой они делятся, является конфиденциальной.

Затем, для каждого вида совместно используемой или публикуемой информации, попросите команды вернуться назад и отследить его жизненный цикл данных. Используйте приведенную ниже презентацию, чтобы задать ключевые вопросы о практике управления данными для каждого фрагмента опубликованных или совместно используемых данных.

В конце этого процесса каждая команда должна быть в состоянии поделиться с остальными результатами своих обсуждений.

В целом групповая работа займет около часа.

Четвертая фаза: презентации групп и рефлексия по поводу безопасности

В зависимости от размера организации и проделанной каждым отделом работы, дайте им время представить результаты обсуждения своим коллегам. Поощряйте каждую группу подумать о креативной презентации и ключевых моментах своих обсуждений. Им не обязательно делиться всем.

Призовите слушателей делать записи о том, что им рассказывают, поскольку после каждой презентации будет дано время для обмена комментариями и обратной связи.

В реалистичных условиях этот процесс займет около 10 минут на группу.

Роль тренера_ки-фасилитатора_ки здесь, помимо учета времени и управления обратной связью, заключается также в предоставлении обратной связи по каждой презентации. Сейчас самое время надеть шляпу практикующего специалиста по безопасности.

Некоторые области, о которых следует спросить:

• Если процесс сбора данных должен быть конфиденциальным, не лучше ли использовать более безопасные средства связи?
• Кто имеет доступ к устройству хранения данных в теории и в реальности? Если речь идет о физическом устройстве хранения данных, то где оно находится в офисе?
• Кто имеет доступ к исходным данным?
  

Как тренер_ка-фасилитатор_ка, вы также можете использовать эту возможность, чтобы поделиться некоторыми рекомендациями и предложениями по повышению безопасности практики управления данными в организации.

Примечание для фасилитатора_ки: существует ресурс под названием  Alternative Tools in Networking andCommunications («Альтернативные инструменты для нетворкинга и коммуникаций») в «FTX: перезагрузка безопасности», с которым вы можете ознакомиться для проведения данного упражнения.

Пятая фаза: возвращение к группам: улучшение безопасности

После того, как все команды представили свои презентации, они возвращаются в свои группы для дальнейшего обсуждения и рефлексии по поводу того, как они могут лучше защитить свой процесс управления данными и собственно данные.

Цель каждой группы - спланировать методы повышения безопасности на всех этапах жизненного цикла данных.

К концу обсуждения каждая группа должна иметь некоторые планы по повышению безопасности своей работы с данными.

Примечание: предполагается, что для этого группа прошла базовый тренинг по безопасности. Как вариант, тренер_ка-фасилитатор_ка может использовать четвертую фазу как возможность предоставить некоторые рекомендации по более безопасным альтернативным инструментам, опциям и процессам для практики управления данными группы.

Методические вопросы для обсуждения в группе

• Какие из данных, которыми вы управляете, являются общедоступными (о них может знать каждый), частными (о них может знать только организация), конфиденциальными (о них может знать только команда и определенные группы внутри организации) - и как ваша команда может гарантировать, что эти различные типы данных могут оставаться частными и конфиденциальными?
• Как ваша команда может обеспечить контроль над тем, кто имеет доступ к вашим данным?
• Какова политика содержания и удаления данных на платформах, которые вы используете для хранения и обработки данных в интернете?
• Как команда может практиковать более безопасные коммуникации, особенно в отношении частных и конфиденциальных данных и информации?
• Какие практики и процессы должна иметь команда, чтобы сохранить конфиденциальность и секретность данных?
• Что следует изменить в вашей практике управления данными, чтобы сделать ее более безопасной? Посмотрите на результаты предыдущей групповой работы и определите, что можно улучшить.
• Какие роли должны быть у каждого члена команды, чтобы управлять этими изменениями?
  

Шестая фаза: финальная презентация планов

На этом этапе каждой команде будет предоставлено время для представления способов, которыми они будут обеспечивать безопасность своей практики управления данными.

Это возможность для всей организации поделиться стратегиями и тактиками и поучиться друг у друга.

Подведение итогов упражнения

После завершения групповых презентаций и обмена мнениями тренер_ка-фасилитатор_ка может подвести итог упражнения:

• Указать на ключевые моменты
• Спросить участников_ц об основных выводах, сделанных в ходе упражнения
• Согласовать дальнейшие шаги по практической реализации планов.

Презентация

Существует еще один способ понять риски по возрастанию — это взглянуть на практику работы с данными в организации. Каждая организация имеет дело с данными, и каждое отделение внутри организации тоже.

Ниже приведены некоторые аспекты безопасности и защиты для каждого этапа жизненного цикла данных.

Создание / получение / сбор данных

• Какого рода данные собираются?
• Кто создает/получает/собирает данные?
• Подвергнет ли это людей риску? Кто подвергнется риску в случае обнародования этих данных?
• Насколько публичным / частным / конфиденциальным является процесс сбора данных?
• Какие инструменты вы используете для обеспечения безопасности процесса сбора данных?

Хранение данных

• Где хранятся данные?
• Кто имеет доступ к хранилищу данных?
• Какие методы / процессы / инструменты вы используете для обеспечения безопасности устройства хранения данных?
• Облачное хранилище в противовес физическому хранилищу или хранилищу на устройстве.
  

Обработка данных

• Кто обрабатывает данные?
• Будет ли анализ данных подвергать риску отдельных лиц или группы лиц?
• Какие инструменты используются для анализа данных?
• Кто имеет доступ к процессу/системе анализа данных?
• При переработке данных сохраняются ли вторичные копии данных в других местах?

Публикация/обмен информацией из обработанных данных

• Где публикуется информация / знания?
• Будет ли публикация информации подвергать людей риску?
• Кто является целевой аудиторией публикуемой информации?
• Есть ли у вас контроль над тем, как публикуется информация?

Архивирование

• Где архивируются данные и обработанная информация?
• Архивируются ли исходные данные или только обработанная информация?
• Кто имеет доступ к архиву?
• Каковы условия доступа к архиву?

Удаление

• Когда происходит уничтожение данных?
• Условия удаления?
• Как мы можем убедиться, что все копии удалены?

Примечание для фасилитатора_ки

Это упражнение - хороший способ узнать и оценить контекст цифровой безопасности, практику и процессы участников_ц. Хорошо бы сосредоточиться на этом аспекте, а не ожидать от этого упражнения выработки стратегий и тактик для повышения их цифровой безопасности.

В рамках организационного семинара вы, возможно, захотите обратить внимание на кадровые и административные команды / отделы. Во-первых, во многих организациях, как правило, именно у этих сотрудников_ц не было опыта участия в семинарах по цифровой безопасности, поэтому многие темы и вопросы могут быть для них новыми. Во-вторых, поскольку большая часть их работы является внутренней, они могут не воспринимать свои подразделения как ¨публикующие¨ что-либо. Однако во многих организациях эти подразделения хранят и обрабатывают большое количество конфиденциальных данных (информация о персонале, зарплаты сотрудников, записи заседаний совета директоров, банковские реквизиты организации и т. д.) – поэтому важно указать на это в ходе семинара.

Обратите внимание и на физические устройства хранения данных. Если есть картотеки, где хранятся печатные копии документов, спросите, где они расположены, и кто имеет к ним физический доступ. Иногда существует тенденция слишком сильно концентрироваться на практике онлайн-хранилищ, упуская при этом возможность сделать более безопасной тактику физического хранения.

Дополнительное чтение (по желанию)

• FTX: перезагрузка безопасности: альтернативные инструменты для нетворкинга и коммуникаций - FTX Safety Reboot: Alternative Tools in Networking and Communications.
• FTX: перезагрузка безопасности, модуль мобильной безопасности
• Electronic Frontier Foundation's Surveillance Self-Defense – Хотя это руководство в основном рассчитано на американскую аудиторию, в нем есть полезные разделы, объясняющие концепции наблюдения и инструменты, используемые для их обхода.
• Front Line Defenders' Guide to Secure Group Chat and Conferencing Tools – полезное руководство по различным безопасным чат- и конференц-сервисам и инструментам, которые соответствуют критериям Frontline Defender о том, что делает приложение или сервис безопасным.
• Mozilla Foundation's Privacy Not Included website – в котором рассматриваются различные политики и практики конфиденциальности и безопасности различных сервисов, платформ и устройств на предмет их соответствия Mozilla´s Minimum Security Standards (минимальным стандартам безопасности Mozilla), которые включают шифрование, обновления безопасности и политики конфиденциальности.

*Картинка с рисунком. На рисунке растения красного цвета